Geçen yıl 29 Temmuz 2019 tarihinde Amerika’nın en büyük bankalarından Capital One, bulut hizmeti veren Amazon Web Services’in (AWS) üzerinde tuttuğu yaklaşık 106 milyon müşterisinin kişisel bilgilerinin çalındığını duyurmuştu. Eski bir AWS çalışanı bankanın web uygulamasındaki yanlış firewall konfigürasyonunu kullanarak bilgileri çalmıştı. Bu hırsızlık finansal hizmet veren bir kurumda gerçekleştirilen en büyük veri hırsızlığı niteliğindeydi. O dönemde yazdığım “Bulut Güvenliği ve İç Denetim Yöneticilerinin Cevaplaması Gereken 10 Soru” başlıklı yazıda, konu hakkında bilgi vermiştim.
Bu olay sonrasında, geçtiğimiz günlerde (6 Ağustos 2020) ilgili denetleyici ve düzenleyici kurum (The Office of the Comptroller of the Currency) firmaya, 80 milyon dolar ceza verdiğini açıkladı.
Yaptığı denetimde denetleyici kurum, bulut operasyonlarıyla ilgili olarak;
- Banka yönetiminin 2015 yılında, bilgi teknolojisi operasyonlarını bulut ortamına taşımadan önce, etkin risk değerlendirme süreçlerini oluşturmada, bulut operasyonlarıyla ilgili uygun risk yönetiminde ve bulut ortamı için gerekli ağ güvenliği ve veri kayıplarını önleme kontrollerini oluşturmada/işletmede ve alarmları etkin şekilde çözümlemede,
- İç denetimin birçok iç kontrol zafiyetinin tespitinde ve belirlediği aksaklıkları Denetim komitesine etkin bir şekilde raporlamada ve
- Yönetim kurulunun, iç kontrol zafiyet ve boşluklarının giderilmesi için iç denetimin gündeme getirdiği bulguların giderilmesi için, yönetimi sorumlu tutmada, etkin aksiyonları almada
başarısız olduğunu tespit etmiştir.
Üçlü hat modelinin an unsurları olan yönetim kurulu, yönetim ve iç denetimin, bulut süreçleriyle ilgili olarak, üzerlerine düşen görevleri yapmada başarısız olduğu görülmektedir.
Bankada üçlü hattın tüm ana unsurları bulunmasına rağmen neden bu derece büyük başarısızlık oluşmuştur?
Problem üçlü hat modelindeki eksikliklerden mi, yoksa modelin uygulanmasındaki hatalardan mı kaynaklanıyor?
Capital One örneği veya benzer örneklere bakıldığında problem, modelden ziyade, modelin uygulamasındaki hata ve eksikliklerden kaynaklandığı görülmektedir.
Üçlü hat modelinin başarısında, aşağıdaki hususların kritik olduğu kanaatindeyim:
Rol ve sorumluluklar net bir şekilde belirlenmeli, anlaşılmalı ve eksiksiz şekilde uygulanmalıdır. Yukarıda ifade edildiği gibi, modelin ana unsurları görevlerini yerine getirmede başarısız olmuşlardır. IIA’in 20 Temmuz 2020 tarihinde açıkladığı yeni “Üçlü Hat Modeli”ne göre; yönetişim organı, yönetim, iç denetim ve dış güvence sağlayıcılar modelinin kilit rollerini oluşturmaktadır. Güncellenen modelde bu unsurların rol ve sorumlulukları, detaylı şekilde açıklanmıştır. Modele göre özetle;
- yönetişim organı olan yönetim kurulu, gözetimle,
- yönetim, kurumsal amaçlara ulaşmaya yönelik (risk yönetimi dahil) gerekli aksiyonları almakla,
- iç denetim, amaçlara ulaşmakla ilgili tüm konular hakkında bağımsız ve objektif güvence ve tavsiyeler vermekle,
- dış güvence sağlayıcılar ise, paydaşların menfaatlerine hizmet eden düzenlemelere ilişkin beklentiler ve düzenleyici otorite beklentilerini karşılamakla sorumludur.
Her bir unsur kendi sorumluluğunu yerine getirmeli ve diğer hatlardan beklememelidir. Örneğin iç kontrollerin oluşturulması, tespiti ve izlenmesi yönetsel bir sorumluluktur ve bunlar iç denetimden beklenmemelidir. Yönetimin ikinci hattında yer alan ve riskle ilgili konularda yönetim birimlerine rehberlik etmek ve onları sorgulamakla görevli kurumsal risk yönetimi birimleri kendilerini risklerin yöneticisi gibi görmemelidir. Birinci hatta yer alan yönetim birimleri ikinci hatta yer alan risk yönetimi ve uyum birimlerinden risklerin yönetimini beklememelidir. Uyumla ilgili birimler izleme sorumluluklarını iç denetimden beklememelidirler. İç denetimin bulgularıyla ilgili aksiyonların yerine getirilmesinden, iç denetim değil, yönetim birimleri sorumludur. Yönetim kurulları/denetim komiteleri ise yönetim tarafından gerekli aksiyonların alındığı husunda yönetim birimleri ve iç denetimi gözetmekle yükümlüdür.
Model, kurumun amaç ve koşullarıyla uyumlu hale getirilmek üzere, uyarlanmalıdır. Birinci ve ikinci hatların rollerinin kapsamı, kurumun; büyüklüğüne, karmaşıklığına, sektörüne ve tabi olduğu düzenlemelere göre ilgili kuruma uyarlanmalıdır. IIA tarafından yayınlanan yeni modelde prensip bazlı bir yapı oluşturulması, modelin kullanıcılarına esneklik sağlamış ve her tip kurumun amaç ve şartlarına uyarlamayı kolaylaştırmıştır. Örneğin, büyük ve karmaşık organizasyonlarda tüm rollerin yer aldığı bir yapı oluşturulurken, küçük kurumlarda daha sade bir yapı oluşturulmalıdır. Büyük kurumlarda yönetişim organı; denetim, risk, finans ve ücretlendirme gibi alanlarda ilave gözetim ve denetim komiteleri kurabilir.
Unsurlar modelde belirtilen prensiplere uygun şekilde yapılandırılmalıdır. Hatlar bir birinin etkinliğine zarar verecek şekilde birleştirilmemelidir. Görevlerde tekrarlar, verimsizlikler ve boşluklar olmamalıdır. Kaynak yetersizliği, iş yapış şeklindeki değişiklikler ve yönetim kurulu/üst yönetimin öyle uygun görmesi nedeniyle, hatlar arası geçişmeler (blurring of lines) olduğunda gerekli tedbirlerin alınması gerekmektedir. Örneğin iç denetim, bağımsızlığını koruyabilmesi için, yönetimin sorumlulukları arasında bulunan risk yönetimi ve izleme gibi konularda karar almamalı ve sorumluluk yüklenmemelidir. Ancak yönetim/yönetim kurulu iç denetimin uzmanlığından faydalanmak amacıyla, risk yönetimi ve uyumla ilgili izleme aktivitelerin yapılmasını iç denetimden isteyebilmektedir. Bu durumda iç denetimin yaptığı bu faaliyetler hakkında kalifiye üçüncü bir şahıstan güvence ve tavsiyenin sağlanması gerekmektedir.
Unsurlar arasında etkin iletişim, işbirliği ve eşgüdüm olmalıdır. Modelin ana unsurları birinden ayrı, silolar şeklinde, çalışmamalıdırlar. Kurumun amaçlarına ulaşmak için, ayrı ayrı değil, ortak hareket etmelidirler. Üçlü hat demek, görevlerin sırasıyla; birinci, ikinci ve üçüncü hatlar tarafından ayrı ayrı yapılması anlamına gelmemektedir. Görevler eş zamanlı, koordinasyon içerisinde ve ortaklaşa gerçekleştirilmelidir. Modelin ana unsurları; işbirliği, iletişim ve eşgüdüm içerisinde çalışmalı, birbirleriyle ve paydaş menfaatleriyle uyumlu olmalıdırlar. Kurumların değerine zarar veren bu tür veri hırsızlığı, suistimal vb problemlerle karşılaşılmaması, diğer bir deyişle, değerin korunması ve kuruma değer katılabilmesi ancak unsurların birbirleriyle ve paydaş menfaatleriyle uyumlu çalışmalar yapmalarına bağlıdır. Örneğin; iç denetim, rahatlıkla yönetim kuruluna ve üst yönetime ulaşabilmeli, gerektiğinde yönetim kurulu ve denetim komitesi ile, yönetimden ayrı, özel toplantılar yapabilmelidir. İç denetim yönetimin aktivitelerinden zamanında haberdar olmalıdır. İç denetim yönetimden bağımsız olmalı ancak bağımsızlık, iç denetimin her şeyden soyutlanması, yönetimden kopuk olması anlamına gelmemektedir. İç denetimin kuruma değer katabilmesi, yönetimle ve yönetişim organıyla yakından iletişim kurabilmesine bağlıdır.
Günümüzün giderek belirsiz, karmaşık, bir birine bağlı ve değişken hale gelen ortamında; kurumların etkin risk yönetimi yapılabilmeleri ve amaçlarına ulaşabilmeleri için, güçlü yönetişim ve risk yönetimini destekleyen yapılara ihtiyaçları bulunmaktadır. Üçlü hat modeli, güçlü yönetişim ve risk yönetimini yapı ve süreçleri tanımlamaları için kurumlara yardımcı olmayı amaçlayan değerli bir modeldir. Ancak modelin başarılı olması için, modelin uygulanmasındaki kritik faktörlere dikkat edilmesi büyük önem taşımaktadır.
Dr. Nazif Burca 